Eine aktuell bekanntgewordende Sicherheitslücke bringt Verwirrung in die Android-Welt. Foto: Proschofsky / STANDARD

Mit einer besonders unerfreulichen Sicherheitslücke sehen sich derzeit Android-Nutzer konfrontiert: Vor wenigen Tagen hat Googles eigenes Project Zero einen schweren Fehler in dem Betriebssystem offengelegt, der sich von den sonst im monatlichen Rhythmus veröffentlichten Bugfixes durch zwei Dinge unterscheidet: Die Lücke ist sehr einfach auszunutzen, und vor allem: Sie wird es auch bereits. Die Spionagefirma NSO Group setzt diese offenbar ein, um ihren Kunden die Übernahme von Android-Smartphones zu ermöglichen.

Pixel voran

Nun reagiert die Android-Abteilung von Google mit einem Update – allerdings vorerst nur für die eigenen Geräte. Mit dem Sicherheits-Update für Oktober wird der Fehler bei Pixel 1 und 2 ausgeräumt. Die neueren Pixel 3 und 3a waren ohnehin nie gefährdet. Über die Update-Funktion des Systems können die User die neue Version direkt herunterladen, so sie sie nicht schon automatisch angeboten bekommen haben.

Unklar bleibt die Lage hingegen weiterhin für die Nutzer anderer Android-Smartphones. Bei dem Bugfix handelt es sich nämlich um ein außertourliches Update, das Google für seine eigenen Geräte kurzfristig dazugepackt hat. Die Lücke ist aber nicht offizieller Teil des Android Security Bulletins für Oktober, womit die Hersteller auch keinen passenden Fix ausliefern müssen, um den nun aktuellsten Sicherheits-Patch-Level (5. Oktober 2019) zu erreichen. Das heißt: Es gibt auch vorerst weiter keinen klaren Indikator, ob der Fehler bei einem einzelnen Gerät bereinigt wurde. Das Erhalten eines Oktober-Sicherheits-Updates garantiert dies jedenfalls nicht.

Genau genommen macht Google die Angelegenheit sogar selbst noch undurchsichtiger. Bei Pixel 1 und 2 verwendet man nämlich den Patch-Level 6. Oktober 2019, um die zusätzliche Aufnahme des betreffenden Fixes zu signalisieren. An sich eine gute Idee, hätte man dies konsequent durchgezogen. Denn Pixel 3 und 3a weisen weiter den 5. Oktober 2019 aus – obwohl sie die betreffende Fehlerbereinigung schon lange inkludiert haben. Die Verwirrung ist also komplett.

Im Zweifel unsicher

Wirklich sicher sein können sich vorerst also nur Pixel-Nutzer, die die neueste Softwareversion haben, dass sie gegen den betreffenden Angriff geschützt sind. Zudem sind auch aktuelle Geräte mit Linux Kernel 4.14 (oder neuer) nicht mehr gefährdet. Bei allen anderen Smartphones kann es sein, dass der Fehler bereinigt wurde – oder auch nicht. Angesichts der Update-Realität in der Android-Welt ist zweiteres allerdings erheblich wahrscheinlicher. Dies bestätigt sich auch gleich mit einem Blick auf Samsung eigene Sicherheitsinformationen für das Oktober-Update, dort ist der betreffende Fehler nämlich nicht angeführt. Das heißt Samsung-Nutzer müssen sich in dieser Hinsicht wohl noch ein weiteres Monat lang gedulden.

Klarheit wird es in dieser Hinsicht wohl erst mit dem November-Update für Android geben, wenn Google den Fix in ein offizielles Security Bulletin aufnimmt, und somit über das Datum mit einem fixen Patch Level versehen wird, den die Nutzer dann überprüfen können.

Es gibt auch andere Probleme

Ansonsten liest sich das Oktober-Sicherheitsupdate für Android relativ unspektakulär: Wie schon in den Vormonaten bleibt der Trend, dass die wirklich kritischen Lücken vor allem in den proprietären Treibern von Firmen wie Qualcomm zu finden sind. Für die Open-Source-Teile von Android weist Google dieses Mal nur drei Lücken mit dem höchsten Gefährdungsgrad "kritisch" aus – allesamt im Media Framework des Betriebssystems. Was dabei aber auch auffällt: Unter Android 10 wird die Gefährdung durch zwei dieser Lücken nur als "moderat" angegeben, während eine gar nicht mehr vorkommt. Hier greifen also wohl strukturelle Verbesserungen in der neuesten Version des Betriebssystem

Google Play System Update

Zudem ist der Oktober auch jener Monat, in dem erstmals ein offizielles "Google Play System Update" ausgewiesen wird. Zur Erläuterung: Mit Android 10 übernimmt Google einen Teil der Systemaktualisierungen selbst – und zwar zentral für alle Android-Geräte. Das Google Play System Update für Oktober weist allerdings nur zwei Lücken in für Audio und Video genutzten Codecs aus. Zudem fällt der Start von Googles zentralem Update-System generell wenig überzeugend aus. Bisher ist die neue Version noch auf keinem der Pixel-Smartphones angekommen. Bei manchen davon wird gar ausgewiesen, dass die Play System Updates noch auf dem Stand von August sind, bei anderen ist hingegen von September die Rede. Generell erscheint es keine sonderlich gute Idee, dass es hier nun zwei unterschiedliche Versionsangaben gibt, die nicht einmal einem durchgängigen Format folgen. So müssen die Nutzer künftig zwei Einträge überprüfen, um sicherzugehen, dass ihr Gerät auf dem aktuellsten Stand ist. (Andreas Proschofsky, 8.10.2019)